新しいModStealerマルウェアが全てのシステムで暗号通貨キーを盗む

Bitget App

スマートな取引を実現

Bitget

ニュース

Cryptotale2025/09/12 20:23

原文を表示

著者:Kelvin

新しいModStealerマルウェアが全てのシステムで暗号通貨キーを盗む image 0

ModStealerマルウェアは、macOS、Windows、Linuxシステム上の暗号ウォレットデータを盗みます。
主に未検出のJavaScriptコードタスクを使用した偽のリクルーター広告を通じて拡散します。
研究者は、ウイルス対策ツールがこのマルウェアを見逃していると警告しており、新たな防御策の必要性を強調しています。

新たに発見されたModStealerというマルウェアが、macOS、Windows、Linuxの暗号ユーザーを標的にしており、ウォレットやアクセス認証情報を脅かしています。Appleに特化したセキュリティ企業Mosyleは、このマルウェアが主要なウイルス対策エンジンによってほぼ1か月間検出されなかったことを発見し、この亜種を特定しました。情報筋によると、このマルウェアはファイルの悪意ある内容をチェックするオンラインプラットフォームVirusTotalにアップロードされていました。

新たなマルウェアの脅威：ModStealerが暗号ウォレットを標的

研究者は、ウイルス対策チェックを回避し、ブラウザベースのウォレットを枯渇させるクロスプラットフォームマルウェアModStealerを発見しました。偽のリクルーター広告を通じて配布され、ユーザーの秘密鍵などに直接的な脅威をもたらします…
— CryptoTale (@cryptotalemedia) 2025年9月12日

Mosyleによると、ModStealerは秘密鍵、証明書、認証ファイル、ブラウザベースのウォレット拡張機能を抽出できるプリロード済みコードを備えています。同社は、SafariやChromium系ブラウザにインストールされた複数のウォレットを標的とするロジックを発見しました。

研究者によれば、ModStealerはmacOS上でバックグラウンドエージェントとして登録することで持続性を保ちます。マルウェアのサーバーインフラはフィンランドにあることが追跡されましたが、運営者の位置を隠すためにドイツを経由していると考えられています。

偽のリクルートによる拡散

分析によると、ModStealerは開発者を標的とした偽のリクルーター広告を通じて拡散しています。攻撃者は、検出を回避するために高度に難読化されたJavaScriptファイルが埋め込まれた求人関連タスクを送信します。そのファイルには、Safariを含む56種類のブラウザウォレット拡張機能を標的としたプリロード済みスクリプトが含まれており、鍵や機密データの窃取が可能です。

Mosyleは、WindowsおよびLinuxシステムも脆弱であることを確認しました。これにより、ModStealerは幅広いクロスプラットフォームの脅威のひとつとなっています。

同社は、ModStealerがMalware-as-a-Service（MaaS）モデルに合致していると述べています。このモデルでは、サイバー犯罪者が既製の情報窃取キットを構築し、技術的スキルのないアフィリエイトに販売します。この傾向は2025年に攻撃を加速させており、Jamfは今年の情報窃取活動が28%増加したと報告しています。

Mosyleは「セキュリティ専門家、開発者、エンドユーザーにとって、署名ベースの保護だけでは不十分であることを改めて認識させるものです。継続的な監視、行動ベースの防御、新たな脅威への認識が、攻撃者に先んじるために不可欠です」と述べています。

インフォスティーラーの拡大する機能

ModStealerは拡張機能の窃取以外にも多くの機能を持っています。攻撃者のウォレットアドレスに置き換えることでクリップボードを乗っ取り、リモートコードの実行、画面のキャプチャ、ファイルの流出などを可能にします。

macOSでは、マルウェアはLaunchAgentsを利用して持続性を確保します。これにより、システム再起動後も悪意のあるプログラムが動作し続け、感染したマシンに長期的なリスクをもたらします。

Mosyleは、ModStealerのビルドが他のMaaSプラットフォームの構造と非常によく似ていると説明しています。アフィリエイトはフル機能のマルウェアキットにアクセスでき、攻撃をカスタマイズ可能です。同社は、このモデルが異なるOSや業界におけるインフォスティーラーの拡大を促進していると付け加えました。

2025年初頭には、悪意あるnpmパッケージ、侵害された依存関係、偽の拡張機能を通じた攻撃が、開発者にとって信頼されていた環境にどのように攻撃者が侵入するかを明らかにしました。ModStealerはこの進化の次の段階であり、正規のワークフローに巧妙に組み込まれることで、さらに検出が困難になっています。

関連：

コードバグから信頼操作へのシフト

これまで暗号業界でのセキュリティ侵害は、スマートコントラクトやウォレットソフトウェアの脆弱性によって発生してきました。しかし、ModStealerはパラダイムシフトに関与しています。攻撃者はもはやバグやゼロデイだけを悪用するのではなく、「信頼」を乗っ取っています。

彼らは、開発者がリクルーターとどのようにやり取りするか、ツールが安全だと仮定すること、既知のウイルス対策への過度な依存を操作します。このアプローチにより、サイバーセキュリティにおける最も弱いリンクが人間要素となっています。

セキュリティ専門家は厳格な対応を推奨しています。ユーザーはウォレットの操作を別のマシンや仮想環境で分離する必要があります。開発者はリクルーターからのタスクを非常に慎重に精査し、コードを実行する前にソースやリポジトリを調査すべきです。また、純粋な署名ベースのウイルス対策から、行動ベースのウイルス対策検出ツール、EDRソリューション、ランタイム監視への移行も推奨されています。

他の専門家の推奨事項としては、ブラウザ拡張機能の定期的な監査、権限の制限、ソフトウェアのアップデートが含まれます。これらを実施することで、ModStealerベースの脅威への曝露を減らすことができると主張しています。

免責事項：本記事の内容はあくまでも筆者の意見を反映したものであり、いかなる立場においても当プラットフォームを代表するものではありません。また、本記事は投資判断の参考となることを目的としたものではありません。

PoolX: 資産をロックして新しいトークンをゲット

最大12%のAPR！エアドロップを継続的に獲得しましょう！

今すぐロック